Un ataque distribuido de denegación de servicio (DDoS, por sus siglas en inglés) es cuando un atacante o atacantes intentan hacer imposible la entrega de un servicio. Esto se puede lograr frustrando el acceso a prácticamente cualquier cosa: servidores, dispositivos, servicios, redes, aplicaciones, e incluso transacciones específicas dentro de las aplicaciones. En un ataque de DDoS, un sistema está enviando los datos maliciosos o las solicitudes; un ataque DDoS proviene de múltiples sistemas.
Generalmente, estos ataques funcionan al llenar un sistema con solicitudes de datos. Esto se podría enviando a un servidor web tantas solicitudes para acceder a una página que se bloquea bajo la demanda; o podría ser una base de datos que es golpeada con un alto volumen de consultas. El resultado es que el ancho de banda disponible en Internet, la CPU y la capacidad de RAM se ven abrumadas.
El impacto podría ir desde una molestia menor de los servicios interrumpidos, a experimentar desconexiones de sitios web completos, aplicaciones o incluso toda la empresa.
Síntomas de un ataque DDoS
Los ataques DDoS pueden parecer muchas de las cosas no maliciosas que pueden causar problemas de disponibilidad, como un servidor o sistema descargado, demasiadas peticiones legítimas de usuarios legítimos, o incluso un cable cortado. A menudo se requiere un análisis del tráfico para determinar con precisión lo que está ocurriendo.
Los ataques DDoS de hoy
Era un ataque que cambiaría para siempre cómo se verían los ataques de denegación de servicio. A principios del 2000, el estudiante canadiense de secundaria Michael Calce, también conocido como MafiaBoy, golpeó a Yahoo! con un ataque distribuido de denegación de servicio (DDoS) que logró apagar una de las principales centrales web de la época. A lo largo de la semana que siguió, Calce apuntó y, con éxito, interrumpió otros sitios como Amazon, CNN y eBay.
Ciertamente, no fue el primer ataque DDoS, pero esa serie de ataques públicos y exitosos transformó los ataques de denegación de servicio en la mente de CISOs y CIOs; pues pasó de ser algo novedoso y que causaba molestias menores, a ser poderosos obstáculos del negocio.
Desde entonces, los ataques DDoS se han convertido en una amenaza demasiado frecuente, ya que son comúnmente utilizados para la venganza, la extorsión, como un medio de activismo en línea, e incluso a la ciberguerra.
También se han vuelto más grandes a lo largo de los años. A mediados de los 90, un ataque pudo consistir en 150 peticiones por segundo, y habría bastado para derribar muchos sistemas. Hoy en día pueden superar los 1.000 Gbps. Esto ha sido alimentado en gran parte por el tamaño de las botnets modernas.
Uno de los ataques DDoS más recientes y poderosos ocurrió el otoño pasado cuando el proveedor de servicios de infraestructura de Internet, Dyn DNS (ahora Oracle DYN), se quedó atascado por una ola de consultas DNS de decenas de millones de direcciones IP. Ese ataque, ejecutado a través de la botnet Mirai, infectó más de 100 mil dispositivos de la Internet de las cosas o IoT, incluyendo cámaras IP e impresoras. En su pico, Mirai llegó a 400 mil bots. Servicios como Amazon, Netflix, Reddit, Spotify, Tumblr y Twitter se vieron interrumpidos.
La botnet Mirai fue significativa ya que, a diferencia de la mayoría de los ataques DDoS, aprovechó los dispositivos IoT vulnerables en lugar de las PCs y los servidores. Es especialmente aterrador cuando se considera que para el 2020, según BI Intelligence, habrá 34 mil millones de dispositivos conectados a Internet y la mayoría (24 mil millones) serán dispositivos de IoT.
Desafortunadamente, Mirai no será la última botnet impulsada por IoT. Una investigación a través de equipos de seguridad dentro de Akamai, Cloudflare, Flashpoint, Google, RiskIQ y Team Cymru descubrió una botnet de tamaño similar, llamada WireX, que consta de 100 mil dispositivos Android comprometidos dentro de 100 países. Una serie de grandes ataques DDoS dirigidos a proveedores de contenido y redes de distribución de contenido provocaron la investigación.
Herramientas de ataque DDoS
Por lo general, los atacantes DDoS se basan en botnets -colecciones de una red de sistemas infectados con malware que se controlan de forma centralizada. Estos endpoints infectados suelen ser computadoras y servidores, pero cada vez son más dispositivos IoT y móviles. Los atacantes recolectarán estos sistemas identificando sistemas vulnerables que pueden infectar a través de ataques de phishing, ataques malvertising y otras técnicas de infección masiva. Los atacantes cada vez más alquilarán estas botnets a quienes las construyeron.
Tipos de ataques DDoS
Existen tres clases principales de ataques DDoS: los que usan cantidades masivas de tráfico falso en un recurso como un sitio web o un servidor, incluidos ICMP, UDP y ataques de inundación de paquete de parodia. Otra clase de ataque DDoS utiliza paquetes para apuntar a la infraestructura de red y a las herramientas de administración de infraestructura. Estos ataques de protocolo incluyen SYN Floods y Smurf DDoS, entre otros. Por último, algunos ataques DDoS dirigen la capa de aplicación de una organización y son conducidos por aplicaciones de inundación con solicitudes creadas de forma malintencionada. El objetivo es siempre el mismo: hacer que los recursos en línea sean lentos o completamente insensibles.
Cómo evolucionan los ataques DDoS
Como se mencionó brevemente arriba, cada vez es más común que estos ataques sean conducidos por botnets alquiladas. Se espera que esta tendencia continúe.
Otra tendencia es el uso de múltiples vectores de ataque dentro de un solo ataque, también conocido como Advanced Persistent Denial-of-Service APDoS -o denegación de servicio persistente avanzado.
Por ejemplo, un ataque APDoS puede implicar la capa de la aplicación, como ataques contra bases de datos y aplicaciones, así como atacar directamente al servidor. “Esto va más allá de las ‘inundaciones’”, señaló Chuck Mackey, director gerente del éxito de los socios de Binary Defense.
Además, explicó Mackey, los atacantes a menudo no solo dirigen directamente a sus víctimas, sino también a las organizaciones de las que dependen, como los ISPs y proveedores de la nube. “Se trata de ataques de gran alcance, de alto impacto y que están bien coordinados”, añadió.
Esto también está cambiando el impacto de los ataques DDoS en las organizaciones y ampliando su riesgo. “Las empresas ya no se preocupan solo de los ataques DDoS contra sí mismos, sino de los ataques contra un gran número de socios comerciales, vendedores y proveedores de los que dependen esas empresas”, indicó Mike Overly, abogado de seguridad cibernética de Foley & Lardner LLP. “Uno de los adagios más antiguos en seguridad dice que una empresa es tan segura como su eslabón más débil. En el entorno de hoy (como lo demuestran las recientes infracciones), ese eslabón más débil puede ser, y frecuentemente es, uno de los delegados a terceros”, afirmó.
Por supuesto, mientras los criminales perfeccionan sus ataques DDoS, la tecnología y las tácticas no se detendrán. Como indicó Rod Soto, director de investigación de seguridad en JASK, la adición de nuevos dispositivos IoT, el aumento del aprendizaje automático y la IA jugarán un papel en el cambio de estos ataques. “Los atacantes eventualmente también integrarán estas tecnologías en los ataques, lo que hace más difícil que los defensores puedan estar al día con los ataques DDoS, específicamente aquellos que no pueden ser detenidos por simples ACLs o firmas. La tecnología de defensa DDoS también tendrá que evolucionar en esa dirección”, anotó Soto.
-George V. Hulme, CSOonline.com
